ウイルス情報

ウイルス名 危険度

Exploit-Rekit.f

企業ユーザ: 低
個人ユーザ: 低
種別 トロイの木馬
最小定義ファイル
(最初に検出を確認したバージョン)
7064
対応定義ファイル
(現在必要とされるバージョン)
7099 (現在7628)
対応エンジン 5.4.00.1158以降 (現在5600) 
エンジンバージョンの見分け方
情報掲載日 2013/06/13
発見日(米国日付) 2013/06/11
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法

概要

・Exploit-Rekit.fはトロイの木馬です。ウイルスと異なり、トロイの木馬は自己複製しません。多くの場合、ファイルが有益である、あるいはファイルを欲しいと思わせて手動で実行させることにより繁殖します。最も一般的なインストール方法は、システムやセキュリティを悪用し、疑いを持たないユーザに手動で未知のプログラムを実行させることです。電子メール、悪質な、またはハッキングされているWebサイト、IRC(インターネットリレーチャット)、ピアツーピアネットワークなどを通じて配布されます。

TOPへ戻る

ウイルスの特徴

・Exploit-Rekit.fは悪質なJNLPを実行するデータが組み込まれた悪質なhtmlです。

JNLPはjarを実行するパラメータデータとクラスが格納されたxmlファイルです。ドロップ(作成)されたJNLPファイルはJS/Exploit!JNLPという名前で検出されます。

・JNLPはjarパッケージファイルの場所、アプリケーションのメインクラスの名前などの情報、プログラムのパラメータが格納されたファイルです。適切に設定されたブラウザはJNLPファイルをJava Runtime Environment(JRE)に受け渡し、JREはアプリケーションをユーザのマシンにダウンロードして実行を開始します。

・JNLPファイルはJarファイルをダウンロードして実行します。JNLPのデータはhtmlから受け渡され、JARがダウンロードされ、実行されます。

これらのJarファイルはExploit-FHM!Rekitという名前で検出され、CVE-2012-1723の脆弱性がありました。

・Exploit-FHM!Rekitは、Oracle Java SE 7 update 4以前、6 update 32以前、5 update 35以前および1.4.2_37以前の脆弱性を利用しようとし、リモート攻撃者はホットスポットに関係がある未知のベクトルにより、機密性、整合性、可用性に悪影響を及ぼすことができます。

・脆弱性の利用に成功すると、以下のURLに接続してペイロードをダウンロードします。

  • ak[削除]d.com.com
  • gallus.lun[削除]ic.com
  • hxxp://ak[削除]d.com.com/dc.jnlp
  • hxxp://ak[削除]d.com.com/rx.jnlp
  • hxxp://ak[削除]d.com.com/89.jar
  • hxxp://ak[削除]d.com.com/yj.jnlp
  • hxxp://ak[削除]d.com.com/pf.jar
  • hxxp://ak[削除]d.com.com/89.jar
  • hxxp://ak[削除]d.com.com/pf.jar

・以下のペイロードをダウンロードします。

  • %APPDATA%\Microsoft\Crypto\RSA\S-1-5-21-[不定]\6b29ae44e85efac3c72ff4d1865d73f1_ee30d8fa-eeea-4127-9fa3-3b2699ade84e
  • %APPDATA%\Microsoft\Protect\S-1-5-21-[不定]\548ee5d6-b719-409e-8adc-230fd7277f6c
  • %USERPROFILE%\Local Settings\Application Data\Sun\Java\Deployment\cache\6.0\14\6fc1528e-2f602748[JS/Exploit!jnlpという名前で検出]
  • %USERPROFILE%\Local Settings\Application Data\Sun\Java\Deployment\cache\6.0\14\6fc1528e-2f602748.idx
  • %USERPROFILE%\Local Settings\Application Data\Sun\Java\Deployment\cache\6.0\2\3d786642-6.0.lap
  • %USERPROFILE%\Local Settings\Application Data\Sun\Java\Deployment\cache\6.0\2\3d786642-692c1dbd [JS/Exploit!jnlpという名前で検出]
  • %USERPROFILE%\Local Settings\Application Data\Sun\Java\Deployment\cache\6.0\2\3d786642-692c1dbd.idx
  • %USERPROFILE%\Local Settings\Application Data\Sun\Java\Deployment\cache\6.0\30\5aa9109e-2596c80d [Exploit-FHM!Rekitという名前で検出]
  • %USERPROFILE%\Local Settings\Application Data\Sun\Java\Deployment\cache\6.0\30\5aa9109e-2596c80d.idx
  • %USERPROFILE%\Local Settings\Application Data\Sun\Java\Deployment\cache\6.0\57\4d12579-7d56564a[JS/Exploit!jnlpという名前で検出]
  • %USERPROFILE%\Local Settings\Application Data\Sun\Java\Deployment\cache\6.0\57\4d12579-7d56564a.idx
  • %USERPROFILE%\Local Settings\Application Data\Sun\Java\Deployment\cache\6.0\9\1babaec9-15089a9b[Exploit-FHM!Rekitという名前で検出]
  • %USERPROFILE%\Local Settings\Application Data\Sun\Java\Deployment\cache\6.0\9\1babaec9-15089a9b.idx

TOPへ戻る

以下の症状が見られる場合、このウイルスに感染している可能性があります。

・Exploit-Rekit.fは任意のファイルをダウンロードする可能性があります。

追加のマルウェアを感染したシステムにダウンロードして実行しようとします。

TOPへ戻る

感染方法

・ユーザが.jarファイルがホストされている乗っ取られたWebサイトにアクセスすると、感染が開始されます。

TOPへ戻る

駆除方法

■現行のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。

システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した場合は正常に駆除されます。

TOPへ戻る